News 26.09.2014, 10:13 Uhr

Shellshock sorgt für Aufregung um Open-Source

Einen Tag nach der ersten Aufregung zum Shellshock-Bug ist wieder Nüchternheit eingekehrt. In den Foren wird angeregt über Open-Source-Sicherheit diskutiert.
Die Sachlage ist klar: In der Linux-Shell Bash existiert eine Sicherheitslücke. Und zwar seit rund zwei Jahrzenten. 1989 wurde die erste Version von Bash (0.99) initialisiert. Wann genau die angreifbare Version 1.13 in Umlauf kam, ist nicht ganz klar, jedoch hat der Sicherheitsexperte Robert Graham in einem Blogbeitrag darauf aufmerksam gemacht, dass er schon vor 20 Jahren mit dieser Sicherheitslücke konfrontiert wurde. Bash gehört inzwischen zu den Standard-Shells auf Unix-basierten Systemen.
Wie Heise schreibt, soll der erste Patch das Loch nicht komplett stopfen, Red Hat arbeitet fieberhaft an einem neuen Flicken. Das Ausmass des Shellshock scheint jedoch nicht so gravierend zu sein, wie dazumal beim Heartbleed-Exploit. So hat Robert Graham in einem ersten gross angelegtem Scan nur ein paar tausend Systeme gefunden, die auf die Anforderungen positiv reagierten. Vermutlich werden es mehr sein, soll doch das verwendete Skript einen Fehler enthalten haben. Aber im Gegensatz zum Skript zum Aufstöbern der Heartbleed-Lücke, welches hunderttausende von potenziell gefährdeten Rechnern anzeigte, ist das doch eine eher bescheidene Zahl.
Das hat wohl auch damit zu tun, dass sich moderne Web-Frameworks von CGI verabschiedet haben. Wie schon gestern an dieser Stelle erwähnt, gehört die System-Kompromittierung via CGI-Befehlen zu den gefährlichsten Angriffvektoren. Auch scheint nur eine ältere Version von CGI tatsächlich betroffen zu sein. Das schränkt doch diesen Vektor von der Breite her entschieden ein.
Trotzdem, die Lücke ist gravierend. Es erlaubt einem Angreifer sofort die komplette Kontrolle über einen Server zu übernehmen, um zum Beispiel einen Wurm zu platzieren der sich dann weiterverbreitet.

Embedded Linux scheint sicher, Industriesoftware verwundar

Auch wurde inzwischen bekannt, dass vermutlich die meisten Embedded-Linux-Systeme zum Beispiel auf Routern, NAS oder Druckern nicht verwundbar sind, da diese vornehmlich auf die Shell Busybox und nicht Bash zurückgreifen. Das ist eine gute Nachricht. Die schlechte Nachricht ist, dass Industrieanlagen mit SCADA- und ICS-Systemen oft Bash einsetzen. Zwar sind viele Industriesysteme vom Internet abgeriegelt. Aber wie das Beispiel von Stuxnet zeigt, ist es via sehr gezielten Attacken möglich, Schaden anzurichten. Das Problem bei den SCADA-Systemen ist, dass Updates in der Regel nicht sofort geliefert werden - wenn überhaupt.

Debatte über Open-Source-Sicherheit

Natürlich kommen bei solchen Lücken die Verfechter von Open-Source-Lösungen unter Druck. In den Online-Kommentaren wird hitzig darüber diskutiert, ob nicht Closed-Source-Anbieter, die über mehr Manpower besitzen, eine Software zu entwickeln, im Vorteil sind. In der Tat: Eine solche gravierende Lücke wurde zum Beispiel unter Windows seit Jahren nicht mehr entdeckt oder zumindest öffentlich verhandelt.
Trotzdem - sogleich die Sicherheit von Open-Source-Betriebssystemen grundsätzlich in Frage zu stellen, scheint diesbezüglich nicht angebracht. Denn es braucht doch eine ziemliche Vernachlässigung der IT-Systeme, um den Angreifer Tür und Tor zu öffnen. Wer im Jahr 2014 noch veraltete CGI-Software einsetzt, müsste sich einmal grundsätzlich Gedanken zu seiner IT-Infrastruktur oder zur eingesetzten Software machen. Der Sicherheitsexperte Bruce Schneier meint dazu auch in seinem Blog, dass er gerne Zahlen sehen möchten, die belegen, dass die Sicherheitslücken in Open Source Software in der letzten Zeit zugenommen haben.

Autor(in) Marcel Hauri



Kommentare
Es sind keine Kommentare vorhanden.